Messages

1

High availability / Question about carp with 1 VIP

« on: March 17, 2023, 12:01:39 pm »

Hello,

im new to opnsense and moving our firewall from sonicwall to opnsense.

I have a question.
I have configured HA with CARP like
1 WAN Address for both Firewalls + 1 VIP
1 MGM Address for both Firewalls + 1 VIP
PFSync Interface 1 IP for Firewall1 and 1 for Firewall2
like 20 VLAN Interfaces with ONLY 1 VIP no physical IP on the interfaces

I tested a HA last week and this was working totally fine and everything got successfully transfered to the backup FW.
In the docs I read now, that you normally have to have 3 IPs with every VLAN..

In my case this is not possible because we got a lot of small vlans with not enough ips for that. Because my HA was successful whats the negative point in only having WAN and MGM with 3 IPs and all other vlans only got 1 ?

Thanks for your help
Epytir

2

German - Deutsch / Frage zu WAN Adressen

« on: January 26, 2023, 05:36:31 pm »

Hallo Zusammen,

ich bin dabei opnsense zu lernen und stelle aktuell unsere Sonicwall auf opnsense um.
Wir haben ein /28 WAN Netz und aktuell habe ich ein HA zwischen 2 opnsense aufbau:
x.x.x.1 = Gateway unseres RZ Betreibers
x.x.x.2 = Virtual WAN IP zwischen beiden opnsense

x.x.x.13 = WAN opnsense1
x.x.x.14 = WAN opnsense2

In der Vergangenheit haben wir die Adressen 3-12 transparent (mit FW Regel Port 443) an unsere Reverse Proxys weitergegen.
Die Reverse Proxys haben also direkt die WAN IP und jeder Reverse Proxy liegt in einem anderen VLAN. Alle haben aber die x.x.x.2 als Gateway.
Die Frage ist jetzt wie mache ich das mit opnsense. Logischerweise sollen die Server mit public IP nicht untereinander kommunizieren können und ich habe bisher keine Funktion gefunden die wie bei Sonicwall die IP Transparent in einem eigenen VLAN an den Server weitergibt.
Oder ist es besser ich verschiebe die Server in Interne Netze und mache eine One-to-One NAT ?

Hoffe jemand kann mir hier helfen.

Grüße Epytir